@ITセミナー、再び大阪へ!

生粋のハッカーに学ぶ、メールの攻め方守り方


宮田 健
@IT編集部
2009/1/5




 見れば分かる――つまり、見ないと分からない

 辻氏は続けて、これらの迷惑メールを排除するために登場した技術について解説した。

 迷惑メールを排除するためには、従来通りスパムフィルタが有効である。スパムフィルタの実装方法としてはテキストフィルタ、ブラックリストフィルタ、ホワイトリストフィルタ、ベイジアン(ベイズ)フィルタなどがあり、特定の単語が含まれている、含まれていないなどの判断で回避する方法が取られている。

 しかし、このような「防御側」の手段は、当然ながら攻撃者も内容を熟知している。例えばブラックリストとして「直メール」「大人の出会い」「viagra」などを指定されたら文面を「直┃メ┃ー┃ル┃大┃人┃の┃出┃会┃い」というように区切り文字を入れたり、「viagla」など一部のスペルを変更したりと、フィルタを回避するための手段を取る。さらにはテキストではなく画像やPDF、はてはHTMLのテーブルで「ドット絵」による文字を送信するなど、手法が日々進化しているのが実情である。

図2 HTMLのテーブルで表現された「出会い」の文字
ただしこのようなメールは非常にサイズが大きくなることから、巨大なメールはスパムである、というフィルタがあれば回避できる。

 スパムフィルタとして活用されるベイズ手法では、文章に登場する言葉、特定単語の登場頻度、メールの長さなどを基にして、スパムかそうでないかを判定する。辻氏はアメリカ最高裁判所の裁判官ポーター・スチュアート氏が、「ポルノというのは言葉で定義するのは大変難しい。しかし、見れば分かるのです」と述べたことを引用し、スパムメールを判断するためには「メールを見ればスパムかどうかが分かる、そしてそれは逆説的に『メールを見なければスパムかどうか判断できない』とも言える」とし、迷惑メール対策のアプローチの基本が各種スパムメールの“認識”であることを述べた。

 攻撃側が有利、だからこそ彼らの手法を知るべし

 1999年にメリッサが登場して以来、攻撃者はメールをコンピュータウイルス攻撃の媒介ツールとしても活用している。IPA(情報処理推進機構)の発表によるコンピュータウイルス・不正アクセスの届出状況を見ても、全体の約半数がメールを利用した拡散によるものであり、この観点でのメールセキュリティ対策も怠ることはできない。

【関連記事】

 「メールによる攻撃に注意せよ」といわれ始めてからどのくらいの時間が過ぎただろうか。しかし、現状はいまも変わらない。この理由はなんだろうか。辻氏はこの現状について、防御側は常に「後手」となってしまい、起点となる攻撃側は必ず「先手有利」であるためだと述べる。

 そしてもう1つの原因として、防御側に「コンピュータウイルス対策ソフトがある」という安心感があるためではないかと述べた。これはコンピュータウイルス対策ソフトの不備というよりは、攻撃側が「コンピュータウイルス対策ソフト対策」に注力しているためだという。

 コンピュータウイルス対策ソフトも先の迷惑メール対策と同じく、基本的にはウイルスのパターンマッチにより、そのプログラムが悪意のあるものなのかを判定する。攻撃者はこの特徴を利用し、「既存のパターンチェックをすり抜けるための手法」を編み出し、実際に亜種としてネットに放っているのだ。

 辻氏は個人的に運営しているハニーポットで捕獲したコンピュータウイルスを基に、コードを一部変更したり、コードを圧縮するなどして改変、そのファイルが各ベンダの提供するパターンに一致するかどうかのテストを行ったところ、改変前は93%の対策ソフトで検知できていた個体が、改変を施すことにより1つも検知できなくなるという事例を紹介した。

図3 ウイルスのコードを一部改変する「ウイルス対策ソフト対策」
ウイルスコードの圧縮や暗号化を行うことで、ウイルス対策ソフトは検出できなくなってしまう

【関連記事】
セキュリティ対策の「ある視点」(13)
プレイバックPart.II:シフトした脅威の中で
http://www.atmarkit.co.jp/fsecurity/rensai/view13/view01.html

 さらに攻撃側はソーシャルエンジニアリング手法も利用する。例えば災害や大統領選挙の結果、芸能人のゴシップなど、多くの人が興味を持つタイトルでメールを送信したり、知人のパーティ動画をYouTubeなどの動画共有サイトで公開したという内容のメールを送り、URLを偽装することで「信頼するサイトそっくりの偽サイト」へと誘導、動画閲覧プラグインを装う悪意あるプログラムをインストールさせるという手法が使われる。これら1つ1つは既知のパターンだが、それを組み合わせることで感染の成功率を上げているのだ。

 人+技術の力で「めっちゃ気をつける」

 このような現状で、私たちは何ができるだろうか。これに対し関西出身の辻氏は一言、「めっちゃ気をつける」と述べた。これは個人の注意力に依存せよ、ということではなく、技術だけに頼るな、という意味が込められている。

 辻氏は「いままでは攻撃側、防御側ともに『技術vs.技術』であったが、いまは単に技術だけではなく『人+技術』で対応すべき」と述べ、その人+技術を「欺術」と定義し、これを身に付けるべきだと説明した。

 攻撃者が人を欺くための欺術による攻撃を仕掛けているいま、防御側も「攻撃側を欺く」ための努力をしなくてはならない。技術は手間や費用を軽減するために存在しており、人と技術は不可分で「どちらか一方のみでの解決策はない」と説明した。

2/2

Index
生粋のハッカーに学ぶ、メールの攻め方守り方
  Page1
メールを突破口にする攻撃者たちとの攻防戦
本当は恐ろしいオープンリダイレクタ脆弱性
Page2
見れば分かる――つまり、見ないと分からない
攻撃側が有利、だからこそ彼らの手法を知るべし
人+技術の力で「めっちゃ気をつける」

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間